主流AI基础设施漏洞威胁全球数千大模型

近日，知名网络安全公司Oligo Security发现人工智能行业主流算力框架Ray的一个未修复安全漏洞正被黑客野外大规模利用，攻击AI工作负载并窃取敏感（生产）数据和算力。

包括亚马逊、字节跳动、Uber、OpenAI等数以千计的人工智能企业受到影响，数百个集群已经遭到攻击，超过10亿美元算力遭到“劫持”。

Ray作为一个前沿的统一框架，正在革新AI和Python应用程序的扩展方式，为多种应用场景提供强大的支持。

从宏观角度来看，Ray的主要由两大核心组件构成：

1.核心分布式运行时，称为 Ray Core。

2.一组互补的 AI 库和扩展，构建在其之上或依赖于它，用于有效加速和分配特定领域的 ML 工作负载。

对于AI从业者来说，Ray是最佳实践的选择。它支持分布式工作负载，简化配置，具有出色的稳定性和性能优化能力。Ray目前已赢得全球顶尖组织的青睐，如Uber、亚马逊和OpenAI，它们借助Ray的高可扩展性、速度和效率，实现了卓越性能。

Oligo Security的研究团队在2023年底发现，广泛使用的开源人工智能框架Ray存在一个被积极利用的漏洞，命名为ShadowRay（CVE-2023-48022）。该漏洞使得许多组织面临远程代码执行和敏感数据泄露的风险。

尽管Anyscale（Ray的开发者和维护者）及时修复了Ray中的其他四个漏洞，但ShadowRay漏洞由于存在争议而未被修复。由于Ray仪表板默认绑定在0.0.0.0上，许多组织容易受到该漏洞的影响。

ShadowRay漏洞被黑客积极利用，导致大量敏感数据泄露，例如数据库凭证、AI模型、云服务访问等。攻击者还控制了大量GPU资源进行加密货币挖矿。

由于存在争议，许多开发团队（以及大多数静态扫描工具）都没有意识到CVE-2023-48022的潜在危害。一些团队可能错过了Ray的相关文档，另一些则根本不知道此漏洞的存在。

Oligo Security的研究人员观察到，CVE-2023-48022漏洞正被积极利用，这使得原本争议的漏洞变成了“影子漏洞”——此类漏洞不会在静态扫描中显现，却能导致安全漏洞和重大损失。

Oligo的研究团队将此漏洞命名为ShadowRay，是首个已知人工智能基础设施漏洞被用于攻击人工智能工作负载的案例。

研究发现，全球范围内已有数千台部署在公共网络上的Ray服务器因该漏洞被攻陷，有些服务器甚至已经沦陷至少7个月。其中许多服务器包含了历史命令记录，这使得攻击者更容易理解服务器上的内容，并可能泄露生产环境中之前使用过的敏感机密信息。

受Ray漏洞影响，数百家公司已经暴露于远程代码执行(RCE)风险之中，其中一些公司至今仍未修复漏洞。（文末链接的报告提供了完整的IoCs列表）。

截至目前，Oligo已发现数百个感染集群，主要由网络连接的GPU节点组成，主要用于加密货币挖掘，增加了基础设施风险。

GPU的高价值和稀缺性使其成为攻击目标，AWS上GPU机器的年使用成本可能高达858,480美元。据估计，近10亿美元的机器和算力可能已遭到攻击，首次攻击可追溯至9月5日。

参考链接：

https://www.oligo.security/blog/shadowray-attack-ai-workloads-actively-exploited-in-the-wild

安易科技，专注于云原生与大模型安全领域，提供基于智能自学习的AI与云原生安全解决方案。自主研发的AneSec云原生安全平台，是国内领先的可以基于混布代理检测跨容器、Kubernetes、主机和多云安全威胁的云原生安全厂商，并且在算力网络安全以及LLM大模型安全等方面也有最佳实践解决方案。